必要なVCNセキュリティ・ルール
Lustreファイル・システムを使用してファイル・ストレージを作成およびマウントする前に、特定のプロトコルおよびポートを使用してファイル・システムへのトラフィックを許可するように、セキュリティ・ルールを構成する必要があります。Lustreファイル・システムには、ホスト間の接続とクライアントとの接続が必要です。
Lustreは、LNetプロトコルおよびネットワーク・ドライバを使用して、様々なタイプのネットワークを介して通信します。デフォルトでは、File Storage with Lustreは、TCPポート988を使用して接続を作成するドライバを使用します。
オプション1: 異なるサブネットのクライアントとLustre
このシナリオでは、ファイル・システムはクライアントとは異なるサブネットにあります。セキュリティ・ルールは、各サブネットのセキュリティ・リスト内のファイル・システムとクライアントの両方、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。
Lustreファイル・システムに対して次のセキュリティ・ルールを設定します:
- クライアントおよびLustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
- ソース・ポート512-1023からLustreおよびクライアント・サブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。
次に、クライアントに次のセキュリティ・ルールを設定します:
- LustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
- ソース・ポート512-1023からLustreサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。
オプション2: 同じサブネット内のクライアントとLustre
このシナリオでは、ファイル・システムはクライアントと同じサブネットにあります。セキュリティ・ルールは、各サブネットのセキュリティ・リスト内、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。
- サブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
- ソース・ポート512-1023からサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。
VCNセキュリティ・ルールを有効にする方法
ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するためにセキュリティ・ルールを使用する2つの仮想ファイアウォール機能が用意されています。2つの機能は:
- ネットワーク・セキュリティ・グループ(NSG)(推奨):異なるセキュリティ体制を持つアプリケーション・コンポーネント用に設計された機能。必須ルールを含むNSGを作成してから、ファイル・システムをNSGに追加します。また、必須ルールを既存のNSGに追加し、ファイル・システムをNSGに追加することもできます。各ファイル・システムは、最大5つのNSGに属することができます。
- セキュリティ・リスト:ネットワーキング・サービスによる元の仮想ファイアウォール機能です。VCNを作成すると、デフォルトのセキュリティ・リストも作成されます。ファイル・システムを含むサブネットのセキュリティ・リストに必須ルールを追加します。
NSGのみ、セキュリティ・リストのみ、またはその両方を一緒に使用できます。これは、特定のセキュリティ・ニーズに依存します。セキュリティ・リストとネットワーク・セキュリティ・グループの両方を使用する場合、特定のVNICに適用されるルールの組合せは、次のとおりです:
- VNICのサブネットに関連付けられているセキュリティ・リスト内のセキュリティ・ルール
- VNICが使用されているすべてのNSGのセキュリティ・ルール
ファイル・システムのVNICにセキュリティ・ルールを適用するために使用する方法は問題ではありません。Lustreを含むファイル・ストレージに必要なプロトコルのポートが、適用されているルール内に正しく構成されている必要があります。
これらの機能がネットワークでどのように相互作用するかの詳細、例およびシナリオは、セキュリティ・ルール、セキュリティ・リストおよびネットワーク・セキュリティ・グループを参照してください。ネットワーキングの概要には、ネットワーキングに関する一般的な情報が記載されています。